マルウェア「Emotet」9月に入って急拡大 手口はさらに巧妙に

[ITmedia]

　メールの添付ファイルなどを通じて感染を広げるマルウェア「Emotet」が9月に入って国内で急拡大しているとし、JPCERT/CCが注意を呼び掛けている。感染させる手口もさらに巧妙化しているという。

Emotet に感染し、メール送信に悪用される可能性のある .jp アドレスの推移 （JPCERT/CC外部からの提供観測情報）

　Emotetは、感染したデバイスから、メールアカウントやメール本文などを盗み取り、盗んだ情報を使ってスパムメールを送信し、感染を拡大させるマルウェア。

　メールを受け取った人は、添付されたWordファイルやURLなどを開き、マクロやコンテンツを有効化すると、感染する可能性がある。感染後に別のマルウェアをダウンロードさせる場合があり、ランサムウェアを用いたデータの暗号化や暴露といった被害につながる可能性もある。

　Emotetの配布活動は一時期、落ち着いていたが、今年7月に再開。その後、手口が巧妙化しているという。

　例えば、Emotetが正規のメールから添付ファイルを窃取し、Emotetの感染を引き起こすWordファイルとともに、窃取した無害なファイルを添付してスパムメールを送るケースが確認されているという。

正規のメールから窃取したファイルが添付されたEmotetのメール例

　また、パスワード付きzipファイルを添付し、パスワードをメール本文に記しているケースを確認。この場合、メール配信経路でのセキュリティ製品による検知や検疫をすり抜け、メールが配信されてしまうことがあるという。

パスワード付き zip ファイルが添付されたEmotetのメール例

　JPCERT/CCは、「一見すると業務に関係がありそうな内容で、取引先から送付されているようにみえる添付ファイルでも、Emotet感染につながる可能性がある」と指摘。信頼できると断定できない場合は、マクロやコンテンツ有効化のボタンをクリックしないよう注意を呼び掛けている。